Ledger Sicherheitsrisiko ? Berechtigt

[..::. o.Z.o.n.e .::..]

vor 3 Minuten schrieb OKATAKA:

Das bedeutet die bit Box ist nicht wirklich besser ? Und der Trezor auch nicht.

 

der Trezor kann nur für Bitcoin verwendet werden oder auch für Cardano?

Das bedeutet, es ist wie so oft eine Frage des Standpunkts. Besser erscheint Open Source, da der Code von der Community geprüft werden kann. Wass dann später auf deinem Gerät installiert wird ... *hust*

Somit ist natürlich die gewürfelte Paperwallet mit unter die sicherste Version. – Nur leider auch die nicht sehr praktische. ;o))

[groocer]

vor 36 Minuten schrieb ..::. o.Z.o.n.e .::..:

Das bedeutet, es ist wie so oft eine Frage des Standpunkts. Besser erscheint Open Source, da der Code von der Community geprüft werden kann. Wass dann später auf deinem Gerät installiert wird ... *hust*

Da ist garnix "hust" gleich neben der zu installierenden Datei steht eine Prüfsumme. Wenn Du möchtest kannst Du also verifizieren was Du Dir da installierst. Und da das viele Leute tun würde auch schnell auffallen wenn Müll verteilt wird.

Es ist also keine Frage des Standpunktes, sondern neutral nachprüfbare Fakten zeigen das man in Open Source nicht vertrauen muss weil ales nachprüfbar ist.

Und da ändern auch die heutigen Zeiten in denen jeder meint jede Meinung sei gleichwertig nichts dran, Fakten lassen sich nicht weg diskutieren.

[..::. o.Z.o.n.e .::..]

vor 4 Minuten schrieb groocer:

Da ist garnix "hust" gleich neben der zu installierenden Datei steht eine Prüfsumme. Wenn Du möchtest kannst Du also verifizieren was Du Dir da installierst. Und da das viele Leute tun würde auch schnell auffallen wenn Müll verteilt wird.

Es ist also keine Frage des Standpunktes, sondern neutral nachprüfbare Fakten zeigen das man in Open Source nicht vertrauen muss weil ales nachprüfbar ist.

Und da ändern auch die heutigen Zeiten in denen jeder meint jede Meinung sei gleichwertig nichts dran, Fakten lassen sich nicht weg diskutieren.

Das bedeutet, Du kompilierst den Source Code der Firmware, erstellst den hash der kompilierten Datei und prüfst diesen dann mit der zum Download gestellten Datei? ;o))

[Mick75]

vor 4 Minuten schrieb groocer:

Da ist garnix "hust" gleich neben der zu installierenden Datei steht eine Prüfsumme. Wenn Du möchtest kannst Du also verifizieren was Du Dir da installierst. Und da das viele Leute tun würde auch schnell auffallen wenn Müll verteilt wird.

Es ist also keine Frage des Standpunktes, sondern neutral nachprüfbare Fakten zeigen das man in Open Source nicht vertrauen muss weil ales nachprüfbar ist.

Und da ändern auch die heutigen Zeiten in denen jeder meint jede Meinung sei gleichwertig nichts dran, Fakten lassen sich nicht weg diskutieren.

Na ja, es kommt durchaus auch mal vor daß ein Signatur-Schlüssel eines Entwicklers gestohlen wird. 

Oder jemand der signieren darf baut da selbst Schadcode ein.

Für die Altersvorsorge, oder so.

So lange man nichts stiehlt merkt das ja zunächst niemand. Die Person könnte jetzt schon zehntausende Seeds in ihrer Datenbank haben.

[Mick75]

vor 5 Minuten schrieb ..::. o.Z.o.n.e .::..:

Das bedeutet, Du kompilierst den Source Code der Firmware, erstellst den hash der kompilierten Datei und prüfst diesen dann mit der zum Download gestellten Datei? ;o))

Nein, das geht nicht.

Jedes Compilat ist unterschiedlich da der Compiler einen Timestamp einbaut.

Du kannst nur signieren daß die gebaute Version von dir stammt.

[..::. o.Z.o.n.e .::..]

vor 2 Minuten schrieb Mick75:

Nein, das geht nicht.

Jedes Compilat ist unterschiedlich da der Compiler einen Timestamp einbaut.

Du kannst nur signieren daß die gebaute Version von dir stammt.

Somit hat also doch wieder jeder der entsprechend signierten binären Datei zu vertrauen. Oder etwa nicht?

Wo ist da dann der Ienterschud? ;o))

 

/SCNR

LOL

[Mick75]

Gerade eben schrieb ..::. o.Z.o.n.e .::..:

Somit hat also doch wieder jeder der entsprechend signierten binären Datei zu vertrauen. Oder etwa nicht?

Wo ist da dann der Ienterschud? ;o))

 

/SCNR

LOL

Wenn du eine Software herunter lädst dann wird die gegen den dort genannten Hash geprüft.

Also wenn ich eine neue Version von Electrum hole, oder Firmware für meine Router.

Da vertraut man darauf daß der Ersteller seriös ist.

Selbst Compilieren ist noch ein höherer Level.

Da habe ich den kompletten Open Source Code der von 1000 Leuten geprüft wurde und ich kann noch selbst rein schauen. 

Damit baue ich die Software die ich dann installiere.

[..::. o.Z.o.n.e .::..]

vor 17 Minuten schrieb Mick75:

Da vertraut man darauf daß der Ersteller seriös ist.

Das ist es worauf ich hinaus will. – Der Großteil der Menschen wird nicht selbst den Code verstehen und dann kompilieren und vertraut somit also auch dort wieder ohne selbst zu verifizieren. – Natürlich ist dies ein anderer Faktor als Closed Source, aber dies war nicht mein Thema. – Es ging um Vertrauen. ;o))

 

PS. Always remember ... ;o))

Bearbeitet 19. Mai 2023 von ..::. o.Z.o.n.e .::..
Added link to Youtube Video 2+2=5

[Mick75]

vor 28 Minuten schrieb ..::. o.Z.o.n.e .::..:

Das ist es worauf ich hinaus will. – Der Großteil der Menschen wird nicht selbst den Code verstehen und dann kompilieren und vertraut somit also auch dort wieder ohne selbst zu verifizieren. – Natürlich ist dies ein anderer Faktor als Closed Source, aber dies war nicht mein Thema. – Es ging um Vertrauen. ;o))

Ja, es geht um das Vertrauen.

Ich hatte meine Router erwähnt. Da geht es auf den ersten Blick nicht um Geld wie hier.

Aber eine kompromittierte Firmware könnte mir auch erheblichen Schaden zufügen. 

Deshalb prüfe ich natürlich vor jedem Update den Hash.

https://downloads.openwrt.org/releases/22.03.2/targets/ramips/mt7621/

Das garantiert zumindest daß das Binary authentisch ist.

Aber nicht wer es erstellt hat. Also in Prinzip könnte jemand so eine Seite fälschen und eigene Versionen anbieten.

Für höhere Sicherheit braucht man dann ein Certificate und den Public Key des Erstellers zur Prüfung.

Dann ist sicher wer das gebaut hat.

Also wenn das Zertifikat nicht gestohlen wurde.

Bearbeitet 19. Mai 2023 von Mick75

[..::. o.Z.o.n.e .::..]

vor 2 Minuten schrieb Mick75:

Deshalb prüfe ich natürlich vor jedem Update den Hash.

Das ist es ja gerade. Wie Du schon geschrieben hast. Hash ist nicht gleich Sicherheit.

 

vor 2 Minuten schrieb Mick75:

Das garantiert zumindest daß das Binary authentisch ist.

Garantiert mit Sicherheit nicht, aber die Vermutung ist nah, dass das was man da erhählt dem entspricht was man denkt zu erhalten.

Somit gilt die alte Regel.

Was man nicht selbst versteht und auch kompiliert ist nicht zu 99,99% sicher. *hust*

Und selbst wenn, wäre eine erwürfelte Paper–Wallet wahrscheinlich immer noch sicherer.

 

PS. Please take all of this with a grain of salt. – Thanx. ;o))

[Mick75]

vor 4 Minuten schrieb ..::. o.Z.o.n.e .::..:

Das ist es ja gerade. Wie Du schon geschrieben hast. Hash ist nicht gleich Sicherheit.

 

Garantiert mit Sicherheit nicht, aber die Vermutung ist nah, dass das was man da erhählt dem entspricht was man denkt zu erhalten.

Somit gilt die alte Regel.

Was man nicht selbst versteht und auch kompiliert ist nicht zu 99,99% sicher. *hust*

Und selbst wenn, wäre eine erwürfelte Paper–Wallet wahrscheinlich immer noch sicherer.

 

Kürzlich wurde hier diskutiert daß eine früher seriöse Seite zur Wallet/Key-Erzeugung nach dem Wechsel des Besitzers kompromittiert wurde. Ich habe jetzt den Namen vergessen da ich so etwas natürlich nicht benutze. 

Insofern ist ein (vernünftig) selbst erzeugter Seed natürlcih immer besser.

ABER: Die Frage ist doch was man dann damit macht.

Wenn ich den Private Key benutzen will um eine Transaktion zu machen dann muß ihn doch auf einem Computer eingeben. Niemand kann so etwas manuell berechnen, das ist viel zu fehleranfällig.

Und dann kommt eben die Sicherheit dieses Computers ins Spiel.

Ein kleiner Fehler und der Key und damit die Coins sind futsch.

[..::. o.Z.o.n.e .::..]

vor 11 Minuten schrieb Mick75:

Kürzlich wurde hier diskutiert daß eine früher seriöse Seite zur Wallet/Key-Erzeugung nach dem Wechsel des Besitzers kompromittiert wurde. Ich habe jetzt den Namen vergessen da ich so etwas natürlich nicht benutze. 

Insofern ist ein (vernünftig) selbst erzeugter Seed natürlcih immer besser.

ABER: Die Frage ist doch was man dann damit macht.

Wenn ich den Private Key benutzen will um eine Transaktion zu machen dann muß ihn doch auf einem Computer eingeben. Niemand kann so etwas manuell berechnen, das ist viel zu fehleranfällig.

Und dann kommt eben die Sicherheit dieses Computers ins Spiel.

Ein kleiner Fehler und der Key und damit die Coins sind futsch.

Ja nun bleiben wir bitte mal auf dem Boden der Tatsachen.

Wenn ich nur mit Paper-Wallets agieren würde, dann würde ich natürlich umschichten auf eine neue Paper-Wallet, nachdem ich meine Zahlung getätigt hätte.

Aber da dies rein spekulativ ist, und jeder Mensch seinen eigenen Weg geht – wird jeder Mensch die für ihn passende Wahl treffen.

Da geht es nicht um das Optimum, sondern um was ist anwendbar. ;o))

[Mick75]

vor 58 Minuten schrieb ..::. o.Z.o.n.e .::..:

Das ist es worauf ich hinaus will. – Der Großteil der Menschen wird nicht selbst den Code verstehen und dann kompilieren und vertraut somit also auch dort wieder ohne selbst zu verifizieren. – Natürlich ist dies ein anderer Faktor als Closed Source, aber dies war nicht mein Thema. – Es ging um Vertrauen. ;o))

 

PS. Always remember ... ;o))

Hmm, ich kenne jetzt dieses Video nicht, hätte aber ein anderes Ende erwartet.  

Ich hätte da als Schüler geschrieben:   An der Börse ist   2+2 = 5  ...  -1

Das ist doch Kostolany pur. 

[kater]

Eine Option für unsichere und wechselwillige wär doch auf Bitbox02 zu wechseln. Zumindest importiert die Bitbox02 den Ledger Seed.

Wer auf Nummer sicher gehen möchte muss sich natürlich einen neuen Seed mit der Bitbox02 anlegen und seine Coins senden.

Wer bisher noch kein Firmware update gemacht hat und seinen Ledger schon lange nicht mehr in gebrauch hatte , dem bietet sich durchaus Variante 1 (Import) an.

[Naturbursche]

vor 11 Stunden schrieb Mick75:

Jedes Compilat ist unterschiedlich da der Compiler einen Timestamp einbaut.

Servus, 

da muß ich widersprechen.

Wenn im Build-Prozess irgendwo Timestamps verwendet werden, dann ist das zumindest für sicherheitskritische Software ein Designfehler. 

Siehe auch hier: https://en.wikipedia.org/wiki/Reproducible_builds

Bearbeitet 20. Mai 2023 von Naturbursche

[Peer_Gynt]

Aktuell zum Titel dieses Threads muss ich vor einer ernsten Sicherheitslücke warnen. 

Die Ledger-Bibliothek wurde kompromittiert. Eine gute Risikobeschreibung enthält dieser Artikel auf cryptoticker.io:

https://cryptoticker.io/de/ledger-bibliothek-kompromittiert/

Dort heißt es u.a.: "Die neueste sichere Version von Ledger ist 1.1.4, aber heute wurden drei neue Versionen (1.1.5, 1.1.6, 1.1.7) veröffentlicht, von denen angenommen wird, dass sie kompromittiert sind. Wenn Sie also eine dieser neuen Versionen haben, ist es wichtig, sie als unsicher zu betrachten."

Ich habe gleich einige Fragen dazu, lasse aber diesen Beitrag als eigenständige Warnung stehen. 

[Peer_Gynt]

Mittlerweile warnen mehrere Krypto-Infoseiten vor der kompromittierten "LedgerHQ-Bibliothek".

Betroffen sind DApps, die den Ledger-Connector verwenden, u.a. SushiSwap, Revoke.Cash und Zapper.

Ich wollte ja eigentlich vom Ledger längst wegsein, nach dem Datenhack und nach der Recoverankündigung, habe jedoch noch immer meinen Ledger X. Aber ich glaube, diese Tage sind gezählt.

Vor allem: Überall wird jetzt vor dem Zugriffsleck gewarnt, aber was steht auf der Ledger-Homepage? https://www.ledger.com/de/
Ganz oben Werbung für die Recover-Funktion, ansonsten nur allgemeine Hinweise zu Phishing-Gefahren, aber KEIN HINWEIS AUF DIE AKTUELLE GEFAHRENLAGE. - Traurig, traurig...

 

[koiram]

https://cryptoticker.io/de/ledger-bibliothek-kompromittiert/

Zitat

Die zuletzt bekannte sichere Version von Ledger ist 1.1.4, mit drei verdächtigen Veröffentlichungen (1.1.5, 1.1.6, 1.1.7) heute veröffentlicht. Alle Versionen, die nach 1.1.4 veröffentlicht wurden, gelten als kompromittiert. ...

Als Vorsichtsmaßnahme rät man Ledger-Benutzern dringend, jegliche Interaktion mit dezentralen Anwendungen (dApps) zu unterlassen, bis das Ledger-Team die erfolgreiche Eindämmung des Angriffs bestätigt und die Wiederherstellung einer sicheren Umgebung zusichert.

https://www.btc-echo.de/schlagzeilen/sicherheitsluecke-im-ledger-code-176080/

Zitat

• Ledger hat die schädliche Software inzwischen bereinigt und bereitet ein Update vor, wie der CEO auf X bestätigt.

Web3-Nutzer sind daher aufgefordert, vorerst nicht per Ledger-Wallet mit Krypto-Anwendungen zu interagieren oder Transaktionen zu bestätigen, da diese möglicherweise kompromittiert sind. ...

Update: Die Sicherheitslücke ist im Zuge eines Updates seitens von Ledger offenbar behoben. Das bestätigen auch SushiSwap und andere Wallet-Anbieter auf X.

Nach Angaben von Metamask könnten jedoch nicht nur Ledger-Nutzer betroffen gewesen sein. Nutzern wird geraten, den Browser Cache zu löschen und die jeweiligen dApps neu zu laden bzw. auf eine konkrete Information der verwendeten Wallet-Anbieter und Anwendungen zu warten.

 

Bearbeitet 14. Dezember 2023 von koiram

[koiram]

Bei Ledger Live steht bei mir "Ledger Live 2.36.2", und ich soll auf "2.42.0 updaten".

Dann ist mit den oben genannten kompromittierten Versionen wohl nicht Ledger Live auf dem PC, sondern die Software auf dem Stick gemeint...?

Sehe ich das richtig...?

Bearbeitet 14. Dezember 2023 von koiram

[Matchbox]

vor 45 Minuten schrieb Peer_Gynt:

KEIN HINWEIS AUF DIE AKTUELLE GEFAHRENLAGE

Wobei man auch sagen muss dass die 'Gefahrenlage' seit Stunden vorrüber ist.
Der User muss auch nichts machen da das Problem bei den Webseiten lag, die das Ledger Connect-Kit nutzen.
Wer also nichts gemacht hat, hat alles richtig gemacht 😆

[AnseBundren]

vor 5 Minuten schrieb Matchbox:

Wer also nichts gemacht hat, hat alles richtig gemacht 😆

Wie so oft in Krüpto

[Matchbox]

vor 9 Minuten schrieb koiram:

Dann ist mit den oben genannten kompromittierten Versionen wohl nicht Ledger Live auf dem PC, sondern die Software auf dem Stick gemeint...?

Nein, es ging ausschließlich um ein Stück Code was benutzt wird, wenn man auf einer Seite irgendeine Wallet verbinden möchte.
Dann wurde durch das kompromittierte Codestück ein Popup geöffnet dass dem 'normalen' Connect-Popup halbwegs ähnlich sah (siehe Twitter-Link unten).
Weiter wurde der Inhaber der Wallet dazu aufgefordert 'bösartige' Transaktionen zu signieren (also z.B. seine Token freizugeben).

Der Code ist inzwischen entfernt und man ist 'safe' ohne irgendwas updaten zu müssen.
Trotzdem sollte man seine Firmware natürlich auf dem neuesten Stand halten, aber wenn es nicht unbedingt sein muss kann man ja einfach noch bis morgen warten oder so. Nur um 100%ig sicher zu sein.
 

 

Bearbeitet 14. Dezember 2023 von Matchbox

[Peer_Gynt]

vor 47 Minuten schrieb koiram:

Bei Ledger Live steht bei mir "Ledger Live 2.36.2", und ich soll auf "2.42.0 updaten".

Dann ist mit den oben genannten kompromittierten Versionen wohl nicht Ledger Live auf dem PC, sondern die Software auf dem Stick gemeint...?

Sehe ich das richtig...?

Bei mir läuft das unter Win10; da hatte ich zuvor LedgerLive 2.71.1 und jetzt upgedated auf 2.73.0.
Der Stick, bei mir der LedgerX, hat auch ein Update erhalten von zuvor Secure Elemente/OS-Version 2.2.2 auf 2.2.3.

Unverändert geblieben sind auf dem Stick Hardware V 1.0, Microcontroller 2.30 und Bootloader 1.16.

Also alles ok, soweit... 😇